Facebook patch-uri silențios o gaură masivă de securitate, milioane de potențial afectate [Știri]
Facebook a confirmat pretențiile făcute de Symantec în legătură cu milioane de date scurgeri “jetoane de acces”. Aceste jetoane permit unei aplicații să acceseze informații personale și să facă schimbări în profiluri, oferind, în esență, părților terțe “cheie de rezerva” la informațiile despre profil, fotografii, pereți și mesaje.
Nu se confirmă dacă aceste părți terțe (în cea mai mare parte agenți de publicitate) știau despre gaura de securitate, deși Facebook a spus de la Symantec că defectul a fost stabilit. Accesul acordat prin intermediul acestor chei ar fi putut fi folosit chiar și pentru a personaliza datele personale ale utilizatorilor, cu dovezi că eroarea de securitate ar putea apărea din 2007, când au fost lansate aplicațiile Facebook.
Angajatul Symantec Nishant Doshi a declarat într-un post pe blog:
“Estimăm că începând cu luna aprilie 2011, aproape 100.000 de aplicații au permis această scurgere. Apreciem că, de-a lungul anilor, sute de mii de aplicații s-ar putea să fi scos din greșeală milioane de jetoane de acces către terțe părți.”
Nu destul de Sony
Token-urile de acces sunt acordate atunci când un utilizator instalează o aplicație și acordă accesul la servicii pentru informațiile despre profil. În mod normal, cheile de acces expiră în timp, deși multe aplicații solicită o cheie de acces offline, care nu se va schimba până când un utilizator nu va stabili o nouă parolă.
În ciuda faptului că Facebook utilizează metode de autentificare OAUTH2.0 solide, un număr de scheme de autentificare mai vechi sunt încă acceptate și la rândul lor sunt utilizate de mii de aplicații. Aceste aplicații utilizează metode de securitate depășite, care ar putea să fi scos din greșeală informații către terți.
Nishant explică:
“Aplicația utilizează o redirecționare pe partea clientului pentru redirecționarea utilizatorului către caseta de dialog familială de permisiune pentru aplicație. Această scurgere indirectă s-ar putea întâmpla dacă aplicația folosește un API Facebook vechi și are următorii parametri deprimați, “return_session = 1” și “session_version = 3 ", ca parte a codului lor de redirecționare.”
În cazul în care acești parametri au fost utilizați (ilustrați mai sus), Facebook va returna o cerere HTTP care conține token-uri de acces în cadrul adresei URL. Ca parte a schemei de referire, această adresă URL este, la rândul ei, transmisă agenților de publicitate terță parte, completată cu simbolul de acces (ilustrat mai jos).
Utilizatorii care sunt preocupați de faptul că cheile lor de acces au fost bine scoase și ar trebui să își schimbe parolele imediat pentru a reseta automat cheia.
Nu a existat nicio veste despre încălcare pe blogul oficial Facebook, deși metodele de autentificare a aplicațiilor revizuite au fost postate pe blogul dezvoltatorilor, cerând tuturor site-urilor și aplicațiilor să treacă la OAUTH2.0.
Ești paranoic în privința securității pe Internet? Spuneți-vă cu privire la starea actuală a Facebook și a securității online, în general, în comentarii!
Image Credit: Symantec
Explorați mai multe despre: Facebook.